Sérgio Magalhães

Advogado RL

PARECER JURÍDICO SOBRE NOVA LEGISLAÇÃO DE PROTEÇÃO DE DADOS

Porto, 29.03.18

Na sequência do acordado cumpre informar o seguinte:

1. O Regulamento comunitário já se encontra em vigor estando apenas a decorrer um prazo de

adaptação até 24.05.18.
2. Encontra-se em discussão na Assembleia da República uma proposta de decreto-lei que
aprovará a transposição da Regulamento comunitário com a concretização do Regulamento
Comunitário. Atendendo aos prazos do processo de aprovação na Assembleia da República e
promulgação não será possível antes de Maio de 2018 termos essa norma fundamental. Por
isso tudo o que aqui é dito é com a informação disponível neste momento. 1
3. Devemos partir de um conceito em que o tratamento dos dados é lícito quando:
a) Há consentimento do titular dos dados
b) É necessário para a execução de um contrato no qual o titular dos dados é parte
c) É necessário para o cumprimento de uma obrigação jurídica a que o responsável
pelo tratamento esteja sujeito
d) É necessário para a defesa de interesses vitais do titular dos dados ou de outra
pessoa singular
e) É necessário ao exercício de funções de interesse público ou ao exercício da
autoridade pública
f) É necessário para efeito dos interesses legítimos prosseguidos pelo responsável
pelo tratamento ou por terceiros
4. Analisada a lei disponível (Reg. Comunitário) cumpre ter em conta, em síntese, que:
a. A XXXX,Crl enquanto Cooperativa deve proceder à análise da informação
disponível identificando onde e que dados pessoais tem disponíveis (definição de
dados pessoais : “toda a informação, de qualquer natureza e independentemente do
suporte em que se encontre armazenada, relativa a características pessoais ou
circunstâncias materiais de uma pessoa singular ou identificável (a titular dos
dados), nomeadamente mas não limitada à morada, número da apólice, informação
atuarial, sinistros, profissão e outros detalhes como estado de saúde, rendimento ou

Advogado responsabilidade limitada

Rua Gonçalo Cristóvão, 316 - CP 4000-266 Porto Telefone:222086855 Fax:223406378
sergiomagalhaes-7533p@advogados.oa.pt
 Sérgio Magalhães
Advogado RL

posição financeira.”). Em concreto devem ser identificados locais e forma onde se

arquivam os documentos que possuem os dados pessoais (Pastas, PC, Portáteis,
telemóveis, “nuvem” e outros).
b. O regulamento alarga o conceito de consentimento do titular dos dados e introduz
novas condições para a sua obtenção, pelo que é necessário apurar se detemos na
XXXX,Crl esse consentimento sob pena de o tratamento de dados se tornar ilícito
por falta de base legal.
c. Deve ser dado consentimento escrito por trabalhadores, administradores, prestadores
de serviços, entre outros, que permita a recolha/tratamento de dados. Nessa
declaração deve a XXXX,CRL informar acerca da base legal para tratamento de
dados, prazo de conservação, informação de toda e qualquer transferência
internacional (de dados) e possibilidade de apresentar queixa.
d. Deve ser criado um procedimento (documentado) que permita a XXXX,crl provar
em caso de inspeção que o sistema de proteção de dados está implementado e
eventual nomeação de um encarregado de proteção de dados. Por exemplo, com
identificação e controlo de quem pode aceder e editar dados pessoais existentes na
empresa ou com registo de todos os pedidos e respostas relativos ao tratamento de 2
dados e portabilidade (ou mesmo a sua possibilidade de eliminação dos
dados/limitação). É claro no texto legal que existe obrigação para a XXXX,Crl de
nesse procedimento analisar o risco (confidencialidade, integridade, prevenção
alteração acidental ou ilícita, acessos não autorizados) e de criar procedimento para a
notificação de violação de segurança à CNPD e, por vezes, aos titulares da
informação violada.
e. Chamo particular atenção para a identificação dos dados “sensíveis“, nomeadamente,
dados biométricos (ex. no caso da existência, de relógio de ponto) e do seu regime de
acesso/criação/tratamento mais restrito.
f. Deve ser preparada a designação do encarregado de proteção de dados que poderá
desempenhar um papel fulcral neste período de transição para garantir que a
organização cumpre todas as obrigações legais desde o início da aplicação do
regulamento.
g. Todas as obrigações de controlo de dados aplicam-se aos subcontratantes (advogado,
contabilista, TOC, etc.). Por isso deverá haver uma declaração emitida por qualquer
destes elementos que garante protege os dados a que tem acesso. Quando houver
lugar a sub-subcontratação, compete ao subcontratante verificar se detém as

Advogado responsabilidade limitada

Rua Gonçalo Cristóvão, 316 - CP 4000-266 Porto Telefone:222086855 Fax:223406378
sergiomagalhaes-7533p@advogados.oa.pt
 Sérgio Magalhães
Advogado RL

autorizações respetivas dos responsáveis pelo tratamento, exigidas expressamente

pelo novo regulamento; caso contrário, deve obtê-las até maio de 2018.
h. O regulamento obriga a prestar mais informações do que atualmente,
designadamente a base legal para o tratamento de dados, o prazo de conservação dos
dados, informações mais detalhadas sobre as transferências internacionais de dados e
a possibilidade de apresentar queixa junto da CNPD.
i. Quanto ao exercício dos direitos dos titulares dos dados deve ser iniciado
procedimentos internos de garantia do exercício dos direitos dos titulares dos dados,
atendendo a novas exigências específicas do regulamento neste domínio quanto à
tramitação dos pedidos, em especial aos prazos máximos de resposta.
j. Os direitos dos titulares de dados foram alargados em relação à atual lei, passando a
existir o direito à limitação do tratamento e o direito à portabilidade, bem como
novos requisitos quanto ao direito à eliminação dos dados e quanto à notificação de
terceiros sobre retificação ou apagamento ou limitação de tratamento solicitados
pelos titulares.
k. Deve a XXXX,Crl adotar procedimentos internos e ao nível da subcontratação, se for
o caso, para lidar com casos de violações de dados pessoais, designadamente, na
3
deteção, identificação e investigação das circunstâncias, medidas mitigadoras,
circuitos da informação entre responsável e subcontratante, envolvimento do
encarregado de proteção de dados e notificação à CNPD, atendendo aos prazos
prescritos no regulamento.
l. O Regulamento obriga a que o responsável pelo tratamento e o subcontratante
apliquem medidas técnicas e organizativas adequadas para assegurar um nível de
segurança adequado, nomeadamente através da:
i. A pseudonimização e a cifragem dos dados pessoais;
ii. A capacidade de assegurar a confidencialidade, integridade, disponibilidade e
resiliência permanentes dos sistemas e dos serviços de tratamento;
iii. A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais
de forma atempada no caso de um incidente físico ou técnico.
m. O responsável pelo tratamento e o subcontratante devem ter um processo que
permita testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e
organizativas para garantir a segurança do tratamento, o que vai implicar
nomeadamente, que muitas entidades necessariamente se certifiquem,
nomeadamente, a nível da ISO27001.

Advogado responsabilidade limitada

Rua Gonçalo Cristóvão, 316 - CP 4000-266 Porto Telefone:222086855 Fax:223406378
sergiomagalhaes-7533p@advogados.oa.pt
 Sérgio Magalhães
Advogado RL

n. GPS nas viaturas - a instalação de um equipamento de GPS em viatura atribuída pelo

empregador ao trabalhador para uso total/parcial, constitui, sem autorização deste,
uma ingerência na sua vida privada, logo ilegal. Deve a XXXX ponderar esta
situação porquanto o sistema de GPS sem sistema de on/off revela dados sobre a
localização e percursos relativos a dados pessoais dos trabalhadores. Admite-se a
instalação de sistemas de geolocalização em veículos automóveis para as finalidades
de:
i. gestão de frota em serviço externo (por ser relevante para a distribuição do
serviço, para a informação dos tempos de espera ou para a melhoria da
capacidade de resposta) mas apenas nas atividades de
1. assistência técnica externa ou ao domicílio,
2. distribuição de bens,
3. transporte de passageiros,
4. transporte de mercadorias e
5. segurança privada;
b) Proteção de bens: mas apenas nos casos de veículos que transportem
(i) materiais perigosos (nomeadamente, materiais tóxicos ou inflamáveis,
resíduos perigosos, armas, explosivos ou medicamentos) ou
(ii) materiais de valor superior a € 10 000. 4
Fora destes casos, permite-se a instalação de dispositivos de geolocalização
em situações excecionais e apenas para proteção do veículo ou dos bens
transportados que são objeto direto da geolocalização, desde que seja adotada uma
solução técnica que permita que os dados de localização fiquem selados e só possam
ser acedidos para efeitos de participação criminal em caso de furto da viatura ou dos
bens. Para esse efeito a XXXX,crl tem que dar conhecimento aos colaboradores da
existência de dispositivos de geolocalização nos equipamentos que lhes
disponibiliza, devendo estabelecer as condições de utilização dos mesmos.
o. Quanto as câmaras de vigilância a XXXX pode utilizar meios de vigilância à
distância sempre que tenha por finalidade a proteção e segurança de pessoas e bens,
devendo entender-se, contudo, que essa possibilidade se circunscreve a locais abertos
ao público ou a espaços de acesso a pessoas estranhas à empresa, em que exista um
razoável risco de ocorrência de delitos contra as pessoas ou contra o património. Por
outro lado, essa utilização deverá traduzir-se numa forma de vigilância genérica,
destinada a detetar factos, situações ou acontecimentos incidentais e não numa
vigilância diretamente dirigida aos postos de trabalho ou ao campo de ação dos
trabalhadores. O Código de Trabalho impõe que deve o empregador informar o

Advogado responsabilidade limitada

Rua Gonçalo Cristóvão, 316 - CP 4000-266 Porto Telefone:222086855 Fax:223406378
sergiomagalhaes-7533p@advogados.oa.pt
 Sérgio Magalhães
Advogado RL

trabalhador sobre a existência e finalidade dos meios de vigilância utilizados. Neste

momento ainda não é certo se esse pedido também que ser autorizado pela entidade
administrativa (CNPD). O empregador informa o trabalhador da existência e da
finalidade dos meios de vigilância. Deve, nomeadamente, afixar os dizeres que a lei
ordena: «Este local encontra-se sob vigilância de um circuito fechado de televisão»
ou «Este local encontra-se sob vigilância de um circuito fechado de televisão,
procedendo-se à gravação de imagem e som». A gravação deve ser inutilizada no
prazo legal de 30 dias.

Ao dispor

O Advogado,

Sérgio Magalhães

Advogado responsabilidade limitada

Rua Gonçalo Cristóvão, 316 - CP 4000-266 Porto Telefone:222086855 Fax:223406378
sergiomagalhaes-7533p@advogados.oa.pt